De Spaanse gegevensbeschermingsautoriteit, de Agencia Española de Protección de Datos (AEPD) oordeelde in een uitspraak van 27 maart jl. (in het Spaans, gepubliceerd op 5 mei jl.) dat de Spaanse tak van ING de AVG had overtreden tijdens een klantenonderzoek.

Op GDPR Hub is een Engelstalige samenvatting van de zaak te vinden. Daaruit blijkt dat ING Spanje ten onrechte veronderstelde dat de herkomst van gelden altijd onderzocht moest worden. Die verplichting is er alleen als het risiconiveau hoog genoeg is; nu dat in het beoordeelde geval niet het geval is, kan ING Spanje zich niet beroepen op artikel 6, lid 1, onder c) AVG om de verwerking te legitimeren. De bank heeft daarom een geldige toestemming van de klant zoals bedoeld in artikel 4, lid 11 AVG nodig, die ontbrak en kan zich niet beroepen op gerechtvaardigd belang.